Вестник цифровой трансформации CIO.RU

«Песочницы» развиваются в сторону кастомизации
«Песочницы» развиваются в сторону кастомизации




16:55 13.04.2021  |  1814 просмотров



Системам Sandbox необходима персонализация защиты и поиск компромисса между производительностью и качеством обнаружения. Специалисты Positive Technologies выделили наиболее перспективные направления развития песочниц, позволяющих лучше выявлять вредоносное ПО.

В числе ближайших целей, стоящих перед вендорами песочниц, в Positive Technologies отмечают кастомизацию виртуальных сред — приближение их состава к реальным рабочим станциям. Раньше на виртуальных машинах использовали программы по умолчанию. Заменив их на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры. Такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.

Эксперты подчеркивают, что большинство кибератак являются целевыми. Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля. Очевидно, что в подобных условиях не может быть универсальных песочниц, и бизнесу необходимо отталкиваться от собственной уникальной карты рисков.

Еще один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. Текущий подход к анализу происходящего в электронной почте, как правило, подразумевает проверку файлов и ссылок, а также поиск в теле сообщений паролей для работы с архивами. Однако в этом случае может не учитываться часть информации, потенциально выдающей угрозу, — заголовки писем.

При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (около 50% атак на организации). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.

Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков – например, выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.

Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. Время проверки одного файла песочницами разных разработчиков сейчас в среднем составляет 1–2 минуты. При этом скорость проверки является одним из ключевых параметров, на которые обращают внимание пользователи.

Как отмечают в Positive Technologies, возник некий негласный потолок возможной производительности песочниц — и с точки зрения времени, и с точки зрения стоимости. Вероятно, этот параметр все еще можно развивать в сторону ускорения и удешевления без потери качества детектирования. Один из возможных путей заключается в массовой единовременной проверке больших наборов файлов по косвенным признакам: попыткам закрепиться в системе, подключиться к интернету и т. д. Если такие признаки обнаружатся, песочница может проводить дополнительную проверку, и, напротив, пропускать файлы, не совершающие подозрительных действий. Как выделить оптимальные косвенные признаки, которые позволят не пропустить угрозу, — вопрос, который только предстоит решить.


Теги: Positive Technologies Кибербезопасность



На ту же тему: